楊 波，陳逸辰

（1.貴陽市城市軌道交通集團有限公司，貴州 貴陽 550081；2.上海依圖網(wǎng)絡科技有限公司，上海 201103）

0 引 言

隨著人工智能領域技術的不斷發(fā)展和算法精度的不斷提高，基于人臉識別的應用系統(tǒng)逐漸在安防、金融、醫(yī)療等各大領域落地實踐。其中，城市交通刷臉支付是一項典型的基于人臉識別算法的應用場景。城市交通的刷臉支付與傳統(tǒng)的支付方式相比，為乘客出行提供了更加便捷有效的支付手段，能夠大幅提高乘客通行效率，提升乘客出行體驗。目前，全國各地有一些試點的地鐵刷臉通行方案，但都是以小規(guī)模特定人群進行試點，且只進行刷臉身份驗證，并沒有完成完整的支付流程。

究其原因，刷臉通行無感支付在城市智慧交通領域是一個世界級的創(chuàng)新難題，百萬量級甚至千萬量級的場景、復雜的現(xiàn)場環(huán)境、高識別精度和低響應時延，都對人像識別算法和整體實現(xiàn)方案提出了極高要求[1-2]。此外，刷臉支付通行雖然便捷，但是由于使用了非接觸式生物信息作為身份驗證憑據(jù)，用戶可能在非主觀授意的情況下被遠程讀取面部信息，一旦被攻擊者惡意利用，將會給用戶帶來不可估量的損失。

本文主要針對刷臉支付通行這一課題，設計了完全自主研發(fā)的首例行業(yè)解決方案，建立了一套包括識別算法、捕獲硬件、刷臉應用、安全運營、安全數(shù)據(jù)存儲以及安全架構的應用體系。依托于依圖科技世界領先的算法和硬件研發(fā)技術，結合“中國數(shù)谷”貴州省貴陽市得天獨厚的人工智能技術與實體經(jīng)濟深度融合的實施條件，此項目已經(jīng)在貴陽市地鐵和部分公交大巴線路成功上線運行，引領了便捷乘車新模式。

1 智慧軌交安全支付系統(tǒng)

地鐵刷臉支付的核心需求可歸結為4點：通行效率高、用戶體驗好、算法精度高、運營優(yōu)化快。基于以上考慮，設計智慧軌交安全支付分層應用體系架構，如圖1所示。架構整體從上到下分為5層。

圖1 智慧軌交安全支付分層應用體系架構

1.1 交互層

交互層位于整個系統(tǒng)架構的頂層，是與用戶直接聯(lián)系的人機交互感知硬件層，主要用于部署基于Android的人機交互設備，是每個乘客在日常乘坐地鐵時進行交互的終端。

1.2 應用層

應用層依賴于交互層而存在，包含了與用戶直接聯(lián)系的人機交互感知軟件層，主要搭載了基于智慧軌交安全支付業(yè)務相關的功能軟件，與交互層一起實現(xiàn)了人機交互軟硬件一體化。

1.3 服務層

服務層包含眾多以微服務形式存在的功能模塊，為上層應用系統(tǒng)提供了業(yè)務服務和基礎支撐服務。

1.4 數(shù)據(jù)層

數(shù)據(jù)層承擔了整個系統(tǒng)的數(shù)據(jù)中心，主要以刷臉應用業(yè)務為核心，構建了基礎數(shù)據(jù)與動態(tài)數(shù)據(jù)相結合的數(shù)據(jù)平臺。

1.5 基礎設施層

基礎設施層即整個系統(tǒng)部署所依賴的計算資源、存儲資源和網(wǎng)絡資源，為上層提供了進行人臉識別計算所需要的GPU和CPU算力支持以及大數(shù)據(jù)中心、用戶信息、運行日志等分布式異構存儲。

從北到南的智慧軌交安全支付分層應用體系架構模型，充分滿足了基于人臉識別的地鐵支付通行所需要的關鍵技術棧。為了實現(xiàn)完整的支付扣費流程，充分按照行業(yè)規(guī)范和企業(yè)的運營需求，在東西向設計了對接銀行或其他支付系統(tǒng)，以此滿足了接入第三方支付平臺的廣大需求。

2 智慧軌交系統(tǒng)安全性分析

地鐵智慧軌交安全支付系統(tǒng)是智慧城市的重要基礎設施，面對百萬量級甚至千萬量級的用戶參與使用刷臉支付系統(tǒng)，系統(tǒng)本身的可靠性和可用性變得至關重要。針對如何衡量信息系統(tǒng)的安全性與可靠性的問題，業(yè)內普遍接受的是基于信息安全的三要素，即機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），如圖2所示。

圖2 信息安全三要素

對于整個軌交支付系統(tǒng)來說，機密性要求了對整個安全系統(tǒng)內的信息、數(shù)據(jù)、文件等的訪問權限控制。為了維護機密性，通常會在數(shù)據(jù)的傳輸、存儲、處理過程中進行諸如加密、訪問權限控制等措施進行安全保護。完整性則著重保護了數(shù)據(jù)的可信度和準確性，即防止未授權的修改數(shù)據(jù)，通常要進行嚴格的訪問控制和身份認證?？捎眯酝ǔＪ潜ＷC經(jīng)過授權的用戶能及時、準確、不間斷地訪問數(shù)據(jù)。為了保證軌交系統(tǒng)的可用性，主要是確保人臉識別算法的精準且高效。

針對軌道交通支付系統(tǒng)可能存在的缺陷和問題，本項目采用了相應的技術管理手段來盡量規(guī)避。下文將從物理、網(wǎng)絡、主機、算法和數(shù)據(jù)5個方面闡述解決方案。

2.1 物理層面

在物理層面，門禁閘機一般布置在地鐵站等具備防震、防風和防雨等能力的建筑物內，保證物理機器的可用性。同時，為了最大程度地保證物理層面的機密性和完整性，服務器機房布置在貴陽軌交公司的A級物理機房。機房和地鐵進出口還安裝有監(jiān)控攝像頭，并接入預警系統(tǒng)，能根據(jù)內置的算法發(fā)現(xiàn)異常行為，及時上報管理員。這項舉措能夠隱藏、保護設備的對外接口，保證攻擊者不能輕易獲得其相應的固件和內部的芯片信息。

2.2 網(wǎng)絡層面

為保證網(wǎng)絡系統(tǒng)的可用性，能夠不間斷連續(xù)運行，本方案中的核心交換機和路由接入設備采用模塊化分布式處理技術實現(xiàn)；各主要部件特別是作為整個計算機網(wǎng)絡系統(tǒng)核心的多層交換單元，更具備了冗余備份的容錯能力，這樣整個網(wǎng)絡中不存在單一故障點。

網(wǎng)絡系統(tǒng)的機密性和完整性主要包括對網(wǎng)域的劃分隔離和傳輸?shù)陌踩员ＷC。根據(jù)系統(tǒng)邏輯功能的不同，對網(wǎng)域進行了如圖3所示的劃分。

各個車站和刷臉支付系統(tǒng)都是一個獨立的網(wǎng)域，在網(wǎng)域之間采用了專用的局域網(wǎng)網(wǎng)絡，通過路由控制，僅能通過特定的接口進行安全通信。其他隔離的系統(tǒng)與刷臉支付系統(tǒng)間的數(shù)據(jù)傳輸都將經(jīng)過防火墻的嚴格過濾，采用業(yè)界最高的威脅防護等級和SSL性能檢測，能夠有效防止隱藏在流量中的惡意軟件攻擊。

為了保障通信過程的安全，采取私有證書的HTTPS協(xié)議對整個鏈路中的流量進行加密，同時構建了相應的安全態(tài)勢感知平臺，根據(jù)機器學習所得模型對實時流量進行分析，實現(xiàn)了針對各路威脅的智慧防御。

2.3 主機層面

為保證核心服務器的高可用性和可靠性，各種應用子系統(tǒng)的服務器都被配置為互備模式；在服務器架構設計上，采用雙機或多機并行運行方式，防止在服務器一級出現(xiàn)單點故障。

此外，服務器具備身份鑒別機制，遵循最小權限原則；具備安全審計功能，對重要的用戶行為，記錄系統(tǒng)資源的異常使用和重要系統(tǒng)命令使用等事件，以此滿足核心服務器的機密性要求。

圖3 系統(tǒng)網(wǎng)域劃分示意

2.4 算法層面

人臉識別技術主要基于深度學習算法，這一類算法容易受到生成式對抗網(wǎng)絡（Generated Against Network，GAN）的攻擊，如圖4所示，是當前國際上最流行的一種攻擊方式。攻擊主要通過在數(shù)據(jù)集中故意添加細微的擾動干擾輸入樣本，導致模型以高置信度輸出一個錯誤結果。應用到貴陽軌交系統(tǒng)，可能造成的后果是閘機無法識別人臉和閘機識別人臉結果錯誤。

圖4 生成式對抗網(wǎng)絡攻擊

針對這一點，依圖利用其世界領先的人臉識別算法，提出對場景光照識別優(yōu)化的雙目活體識別算法[3-4]，在保證高精度、低延遲識別的同時，能夠以較高可信度抵御攻擊[5]，從而能夠保證人臉識別系統(tǒng)結果達到穩(wěn)定的準確率，滿足信息安全的可用性。

2.5 數(shù)據(jù)層面

為了提高可用性與可靠性，本方案采用RAID0+1的條帶化和數(shù)據(jù)冗余技術，用多個物理硬盤保存同一套數(shù)據(jù)，減小存儲設備發(fā)生故障的概率。

為了保證數(shù)據(jù)的機密性，采用商用加密算法對數(shù)據(jù)本身進行加密。同時，系統(tǒng)以等保三級、ISO27001規(guī)范為基礎，提供采集終端、網(wǎng)絡傳輸、應用系統(tǒng)以及硬件平臺的全面安全方案。此外，開發(fā)了額外的數(shù)據(jù)隔離機制來保證各個客戶之間的數(shù)據(jù)不可見性，并提供了相應的災備方案。

3 智慧軌交系統(tǒng)可用性分析

針對貴陽市實際情況，本項目設計了軌道交通場景模型參數(shù)，用以評估判斷系統(tǒng)在人臉識別算法領域的性能。各個參數(shù)說明見表1。

基于該模型，為了探究使用軌交系統(tǒng)的會員比例對系統(tǒng)性能的影響，模擬測試了在會員總人數(shù)固定為1M、盜刷比例固定為1%、日乘坐量固定為200k的情況下，隨著會員比例的變化，誤刷率、盜刷率和日誤報數(shù)的變化情況，具體結果見圖5。

表1 軌道交通場景模型參數(shù)

圖5 會員比例對系統(tǒng)性能的影響

由圖5（a）與圖5（b）可知，隨著會員比例的逐漸增大，誤刷率與錯刷率基本能夠維持在一個穩(wěn)定的較低值，即系統(tǒng)滿足了信息安全三要素中的可用性，且現(xiàn)狀的測試結果已經(jīng)非常接近之前的理想預期，性能優(yōu)越。

由圖5（c）可知，日誤報數(shù)基本與會員比例成正相關關系，這是因為日誤報數(shù)主要有兩個來源，即正式會員被識別錯身份的情況和非會員被誤識別為正式會員的情況。顯而易見，當會員比例明顯提高后，正式會員被識別錯身份的數(shù)量會隨著會員基數(shù)的增大而增大，因此測試結果是與理論分析相符的。

為了探究使用軌交系統(tǒng)的總會員人數(shù)對系統(tǒng)性能的影響，模擬測試了在會員比例固定為20%、盜刷比例固定為1%、日乘坐量固定為200k的情況下，隨著會員人數(shù)的變化，誤刷率、盜刷率和日誤報數(shù)的變化情況，具體結果見圖6。

圖6 會員人數(shù)對系統(tǒng)性能的影響

由圖6（a）知，隨著會員人數(shù)的逐漸增大，誤報率與會員人數(shù)成線性關系。由圖6（b）知，隨著會員人數(shù)的逐漸增大，誤報率與會員人數(shù)成正相關關系。當總會員人數(shù)逐漸增大時，由于會員人數(shù)基數(shù)的緣故，會員被識別錯身份的概率也明顯增大，因此日誤報數(shù)也呈現(xiàn)出一個增長的趨勢。

由圖6（c）可知，日誤報數(shù)基本與會員人數(shù)成正相關關系，總體是一條向上的曲線。與前文測試案例類似，該測試結果是與理論分析結果相符。

4 結 語

目前，基于人臉識別的智慧軌交安全支付課題研究已經(jīng)形成了一套完整的解決方案，從技術手段到落地實施，經(jīng)過了穩(wěn)定測試、性能測試、安全測試等多道產(chǎn)品質量控制手段嚴格把關。同時，依圖的產(chǎn)品研發(fā)部門配備了數(shù)十人的專業(yè)安全團隊，對產(chǎn)品的前后端均經(jīng)過了內部的產(chǎn)品安全滲透測試，包括web安全測試、IoT安全測試以及網(wǎng)絡安全測試，保證黑客難以通過常規(guī)手段入侵產(chǎn)品安全防線，從而全方位保障產(chǎn)品的安全性，保護公民的個人隱私。

未來，隨著軌交刷臉支付一期項目投入建設和使用，泛軌交支付場景也將逐步打通，如地鐵站內購物、地鐵站周邊停車、親人代繳費等功能。后續(xù)還可建立乘客信用體系，根據(jù)乘客的使用習慣和使用頻率，適當為其提供一定的透支額度，進一步提升乘客的出行體驗。依圖致力于將支付場景由一元化拓展到多元化，實現(xiàn)全方位的軌道交通刷臉支付體驗，力爭建設世界一流的智慧交通、智慧城市建設。